🚨🌐 КИБЕРУГРОЗА НОВОГО УРОВНЯ: ВЫМОГАТЕЛИ НАЧАЛИ ЛИЧНО ПРОНИКАТЬ В ОФИСЫ ПОД ВИДОМ ИТ-СПЕЦИАЛИСТОВ
📍 Локация: Соединённые Штаты Америки
🏢 Основные цели: Юридические фирмы и корпоративный сектор
🎯 Угроза: Социальная инженерия, физическое проникновение, кража данных и шантаж
⚠️ Уровень риска: Высокий
🔍 Федеральное бюро расследований США (FBI) предупредило о новой опасной тактике, используемой группировкой Silent Ransom Group, также известной как Luna Moth, Chatty Spider и UNC3753.
Если ранее злоумышленники действовали преимущественно через электронную почту и телефонные звонки, то сегодня они перешли к значительно более опасной модели атак, включающей физическое проникновение на территорию организаций.
💻 Как работает схема?
📞 Сотрудникам компаний поступают звонки или электронные письма якобы от внутренней службы технической поддержки.
🎭 Преступники представляются сотрудниками ИТ-отдела и сообщают о срочной необходимости проверки системы, устранения угрозы или анализа подозрительной активности.
🖥 В ходе разговора жертву убеждают установить программное обеспечение для удалённого доступа или предоставить подключение к рабочему компьютеру.
🚪 В случаях, когда удалённое подключение невозможно, злоумышленники переходят к следующему этапу.
👤 Один из участников группы лично прибывает в офис под видом специалиста технической поддержки.
🔌 Под предлогом создания резервной копии, проверки безопасности или устранения последствий фишинговой атаки он просит подключить внешний накопитель либо флеш-носитель.
📂 После получения доступа преступники быстро копируют конфиденциальные данные организации.
⚡ Особенностью данной схемы является то, что злоумышленники практически не пытаются закрепиться внутри сети, что значительно усложняет обнаружение инцидента.
🛠 Используемые инструменты
Для вывода данных используются легальные и широко распространённые программы:
▪️ WinSCP
▪️ Rclone
▪️ Google Drive
▪️ Microsoft OneDrive
Использование легитимных инструментов позволяет преступникам маскировать свою активность под обычную рабочую деятельность сотрудников.
💰 Что происходит после кражи данных?
📢 Похищенная информация используется для вымогательства.
Преступники угрожают:
▪️ Публикацией конфиденциальных документов;
▪️ Продажей данных третьим лицам;
▪️ Распространением информации среди клиентов компании;
▪️ Давлением на руководство через телефонные звонки сотрудникам и партнёрам организации.
🌐 Для публикации похищенных материалов используется специализированный ресурс business-data-leaks[.]com.
🚨 Признаки возможного компрометирования
FBI рекомендует обратить внимание на следующие индикаторы:
🔹 Неожиданная установка AnyDesk;
🔹 Неожиданная установка RustDesk;
🔹 Появление Splashtop;
🔹 Использование Atera;
🔹 Подключение неизвестных USB-накопителей;
🔹 Передача большого объёма данных в облачные сервисы;
🔹 Звонки от неизвестных лиц, представляющихся сотрудниками ИТ-службы.
🛡 Рекомендации по безопасности
✅ Проверять личность любого сотрудника технической поддержки через официальные внутренние каналы связи.
✅ Запретить подключение внешних носителей без письменного согласования.
✅ Ввести процедуры подтверждения личности посетителей и подрядчиков.
✅ Ограничить использование программ удалённого администрирования.
✅ Контролировать передачу данных в облачные сервисы.
✅ Регулярно проводить обучение сотрудников методам противодействия социальной инженерии.
📌 Вывод
Случай с Silent Ransom Group демонстрирует новую тенденцию в развитии киберпреступности, где цифровые атаки всё чаще дополняются физическим проникновением в организации.
Современная защита требует не только технических средств безопасности, но и высокой осведомлённости персонала, поскольку самым уязвимым элементом любой системы по-прежнему остаётся человеческий фактор.
🔐 Информационная безопасность начинается не с технологий, а с внимательности сотрудников.